概要
TechEd North America 2014 (= Microsoft のカンファレンス) のセッションで紹介されていた、lsass.exe のダンプからユーザーパスワードを抽出する方法を紹介します。
内容
WinDbg のデバッガーエクステンションのmimikatz を使用すると、lsass.exe のプロセスダンプから、ユーザーパスワードの抽出が可能になります。
[mimikatz のダウンロード方法]
mimikatz は、こちらよりダウンロードできます。(バイナリだけでなく、ソースコードも公開されています。)

ダウンロードしたファイルを解凍した中にある、mimilib.dll がWinDbg のデバッガーエクステンションです。

[注意] TechEd のセッションの中(43:18頃)で、ウイルス対策ソフトがmimikatz を検知する可能性があるが、使用可能である旨の発言が発表者よりありました。 |
[lsass.exe のダンプ作成方法]1. タスクマネージャーを起動します。
2. “プロセス” のタブで”lsass.exe” を右クリックし、”ダンプ ファイルの作成” をクリックします。

3. ダンプが、C:\Users\<ユーザー名>\AppData\Local\Temp\lsass.DMP に作成された旨のダイアログが表示されます。
[mimikatz を利用した、パスワードの抽出方法]1. WinDbg を起動します。
2. “File” → “Open Crash Dump” より、上記3で作成したダンプを開きます。

3. “.symfix c:\symbols”、”.reload” を実行し、シンボルをロードします。

4. “.load <mimilib.dll へのパス>” を実行し、mimikatz をロードします。

5. “!mimikatz” を実行します。
すると、パスワードが確認できます。
ここでは、”Demo” ユーザーのパスワードが”mypassword” であったことがわかります。
情報元
・
TWC: Recalling Windows Memories: Useful Guide to Retrieving and Analyzing Memory Content
- 2014/05/25(日) 21:38:39|
- WinDbg
-
| トラックバック:0
-
| コメント:0